Windows活动目录系列---配置AD域服务的信任(2)

下面对AD DS信任的一些高级配置进行介绍:

在某些时候,信任会引起一些安全性的问题。如果你配置了不恰当的信任关系,那么一些不该拥有权限的用户将会有权限访问你的某些资源,这就给你的资源带来了安全性上的风险。为了解决这个问题,我们可以运用几种技术来帮助你管理控制信任的安全性。

  1. SID筛选

    当你建立一个林或者域的时候,会默认启用域隔离,这也被称作SID筛选。当一个用户在一个受信任的域中被验证时,用户展示的验证数据会包含用户隶属的群组的SID,以及用户自身的历史SID和隶属群组的历史SID。

    AD DS默认启用SID筛选,是用来防止受信任林或域中Domain Administrator或Enterprise Administrator级别的用户,将他们林或域内的用户账号授予信任域中的高级权限。简单的说就是如果Forest1和Forest2是互相信任的,A是Forest1中的Domain Administrator或者Enterprise Administrator的成员,但是他不能将Forest1中的其他账号或者自己提升为Forest2中的Domain Administrator或其他权限。SID筛选仅允许从objectSID属性读取SID,它不允许从历史SID中读取SID,这样可以防止错误的使用历史SID。

    在受信任域的角度来看,他的管理员应该是可以使用受信任域的管理证书去载入SID,这个SID与你的域中特权账号的用户历史SID属性中的SID是一致的,然后这个用户可以设置非法的访问级别去访问你域中的资源。SID筛选由信任域筛选出受信任域中安全性主体的非主要SID(例如Domain SID),来防止这种安全性问题,每一个SID都包含起始域的Domain SID,以便于受信任域的用户展现用户的SID列表和用户隶属群组的SID列表,SID筛选根据Domain SID来进行筛选,所有不含受信任域的Domain SID的SID会被信任域丢弃。SID筛选针对所有外部林和域的传出信任是默认开启的。

  2. 选择性验证

    当你创建一个外部信任或者林信任的时候,你可以管理信任安全性主体的验证范围。外部信任或林信任有两种验证模式:

    a.域范围的验证(用于外部信任)或林范围的验证(用于林信任)

    b.选择性验证

    如果你选择了域范围或者林范围的验证,那么信任域中的服务和计算机访问都会对受信任的用户进行验证,因此受信任的用户会被授予权限去访问信任域任意位置的资源。如果你使用这种验证模式,所有来自受信任域或林的用户都会被认为是信任域中已经通过了验证的用户,所以如果你选择域范围或者林范围的验证,那些授权给Authenticated Users群组访问的资源,受信任林或域的用户也可以立即访问。

    但是如果你使用选择性验证,所有受信任域的用户被看做是受信任的标示符,然而他们只能被你指定的计算机上的服务所验证,当使用选择性验证时,用户不会作为目标域中的已验证用户。但是你可以在指定的计算机上明确的授予用户允许验证的权限。

    例如假设你和你的商业伙伴之间做了一个外部信任,你只想让对方公司市场部群组的成员可以访问你公司指定的一台文件服务器上的共享文件。你可以为信任关系配置选择性验证,然后授予受信任域的用户只能在那台文件服务器上进行验证的权限。

  3. 名称后缀路由

    名称后缀路由是一种用于管理验证请求如何在Windows2003及以上版本的拥有信任关系的林之间路由的机制。为了简化验证请求的管理,当你创建了一个林信任时,AD DS会默认路由所有的唯一名称后缀。唯一名称后缀是林中的一个名称后缀,它不会从属于任何其他的名称后缀,比如UPN后缀,SPN后缀,或者DNS的林或域树的名称。举个例子contoso.com林中的唯一名称后缀是它的DNS林名称contoso.com。

    AD DS会隐式的去路由所有从属于唯一名称后缀的名称,打个比方,如果你的林使用contoso.com作为唯一名称后缀,所有contoso.com子域的验证请求都会被路由,因为子域其实就是contoso.com名称后缀的一部分。子域的名称会显示在AD域和信任关系插件中,如果你想将特定林中的某个子域在验证中设为例外,你可以对这个子域名称禁用名称后缀路由,林名称自身的路由也是可以被禁用的。

实验环境:

LON-DC1   adatum.com的域控+DNS  IP 172.16.0.10

TREY-DC1  contoso.com的域控+DNS IP 10.10.0.10

LON-SVR1  adatum.com的成员服务器 IP 172.16.0.21

实验目的:

配置选择性验证的林信任,并验证配置后的效果

一、在两台DC上配置用于DNS名称解析的存根区域

在LON-DC1上打开DNS管理器,在正向查找区域中,新建一个存根区域Contoso.com

接着在TREY-DC1上的DNS管理器中建立Adatum.com的存根区域

二、配置一个选择性验证的林信任

在LON-DC1上打开Active Directory 域和信任关系控制台,配置一个单向的传出信任到contoso.com林,并在配置中使用选择性验证

我们切换到TREY-DC1上检查信任关系是否被创建(在LON-DC1上配置信任关系时,要选择在本域和指定域中创建信任),打开TREY-DC1上的域和信任关系控制台,右键点击Contoso.com选择属性,并打开信任选项卡,可以发现已有一个内向信任关系被建立,说明信任关系成功被建立。

三、将LON-SVR1配置用于选择性验证

打开LON-DC1上的Active Directory 用户和计算机控制台,并启用高级功能视图

找到LON-SVR1,双击它并打开安全选项卡,点击添加按钮,在弹出的窗口中将位置更改为contoso.com,然后在下面的栏位中输入IT,并检查名称,在弹出的网络凭据中填入contoso的域管理员账号和密码

将IT群组的权限列表中勾选"允许身份验证"

然后我们登录到LON-SVR1,在C盘建立一个IT的共享文件夹,并给contoso\it授予读写权限

我们使用IT组中的User1登录TREY-DC1(为了测试我们将IT组和sales组加入到contoso的Domain Admins群组中,因为AD会阻止普通用户的本地登录),来访问LON-SVR1上的IT文件夹,来验证我们所配置的信任和权限是否生效,测试后发现配置是生效的,我们可以使用User1在LON-SVR1的IT文件中建立文档。

我们再验证用sales组中的user2是否能在IT的共享文件夹中建立文档,可以看到user2是没有权限访问IT共享文件夹的,因为他没有通过Lon-svr1服务器的身份验证。

以上就是配置选择性验证的林信任的实验过程。

时间: 2024-12-17 11:58:13

Windows活动目录系列---配置AD域服务的信任(2)的相关文章

Windows活动目录系列---配置AD域服务的信任(1)

在一个多域的AD林中,AD域之间会自动生成双向传递的信任关系,这样能够在所有的AD域之间有一条信任通道.在林中自动创建的信任都是可传递的信任,这表示如果A域信任B域,B域信任C域,那么A域就会信任C域. 下面列举几种主要的信任关系: 信任类型 传递性 方向 描述 父子信任 传递 双向 当一个新的AD域加入到现有的AD域树中,会自动创建父子信任关系 根树信任 传递 双向 当一个新的AD域树加入到现有的AD林中,根树信任会被自动创建 外部信任 非传递 单向或双向 外部信任能够将资源的访问权限开放给W

Windows活动目录系列---配置和监视AD域复制(1)

AD域的站点链接是什么? 两个站点之间要交换复制数据,必须通过站点链接把他们连接起来.站点链接是一个逻辑的路径,它被KCC或ISTG用来建立站点间的复制.当你创建了另一个站点,你必须至少选择一个站点链接,将新的站点和现有的一个站点相连.如果没有站点链接,KCC是无法让不同站点中的计算机互相连通的,站点之间也无法进行复制. 站点链接有一个很重要的概念,它代表用于复制的一条可用路径.一个单独的站点链接是无法控制被使用的网络路由的,当你创建了一个站点链接并且将一个站点加入其中,就等于你告诉AD域可以在

Windows活动目录系列---配置和监视AD域复制(2)

前面讲述了AD站点复制的理论,现在我们通过一些实验来更直观的理解所说的理论. 实验环境: LON-DC1   172.16.0.10  DC LON-SVR1  10.10.0.10   DC 一.修改默认站点名称,给站点配置子网 在现有的Adatum.com域环境中将LON-SVR1提升为DC,这个具体步骤就不演示了,然后我们在LON-DC1上打开AD站点和服务控制台(dssite.msc),可以从下图中看到该控制台中已就有一个默认站点Default-First-Site-Name,并且该站点

Windows Server 2012中配置AD域服务

1.安装完AD域服务后,我们返回服务器管理器界面,点击"将此服务器提升为域控制器",选择"添加新林". 输入域名称:contoso.com 2.按图中所示选择林功能级别和域功能级别,输入目录还原密码,请牢记密码 3.DNS选择,直接点击"下一步" 4.NetBIOS域名默认为CONTOSO 5.指定AD文件的目录位置,默认可以不需要修改 6.确认安装内容.点击"下一步" 7.先决条件检查,点击"安装" 8.

Windows server 2008 R2 配置AD域控服务并为用户设置统一桌面

作为AD域服务器,使用静态IP地址,并且DNS地址与IP地址相同 如果先新建的DHCP服务器,在建完AD后对DHCP服务器添加授权,保证服务器与客户端能ping通 打开服务器管理器,添加角色,添加Active Directory域服务,直接安装 打开命令行,输入:"dcpromo" 进行AD域服务的安装 搭建第一台域控服务器,选择在新林中新建域 填写域名 设置级别 如果没有安装DNS服务器的话,在这一步安装,我已经安装好了,直接下一步 选择"是" 保持默认,下一步

Windows活动目录系列---分布式活动目录部署概述(下)

本地ADDS部署与云服务集成: 目前可以通过两种方法来将ADDS扩展到云上.一种是通过Windows Azure AD,另一种是在Windows Azure虚拟机上安装Windows 2012R2的服务器,然后将服务器提升为DC. 什么是Windows Azure AD? Windows Azure AD是一个基于Windows Azure的服务,它被用来给云上的应用程序提供ID管理和访问控制.通常在订阅了office365,Exchange Online,SharePoint Online,L

Windows活动目录系列---AD站点(2)

什么是站点之间的拓扑生成器(Intersite topology generator ISTG)? 在配置多站点的时候,KCC会指定每个站点中的一台DC作为站点间拓扑生成器.无论站点有多少个域或者目录分区,每个站点只能有一个ISTG.ISTG负责计算出跨站点链接时最理想的站点复制拓扑,当你在林中新增一个站点,每个站点的ITSG会去确认新站点出现在哪个目录分区,然后ISTG计算出有多少个新的链接对象是新站点复制信息时必须用到的. 在有些网络中,你可能希望指定某一个DC来进行站点间的复制,我们可以通

Windows活动目录系列---ADDS复制的概述(1)

AD DS分区介绍: 活动目录数据存储中所包含的信息会被ADDS发布到林中的所有DC上.数据存储中包含的大部分信息会在单域中发布,但是还有部分相关信息会不受域的复制边界限制,将信息发布到整个林中. 为了提升DC之间的复制效率和扩展性,活动目录的数据被逻辑的划分成几个分区,每个分区作为一个复制单元,并且每个分区都有自身的复制拓扑,ADDS有以下默认的分区: 配置分区.配置分区是在林中第一台DC被创建的时候自动生成的,配置分区中包含了林范围的ADDS结构信息,包括林中有哪些域或站点,每个域中有哪些D

Windows活动目录系列---分布式活动目录部署概述

AD DS组件的概述: 什么是AD DS域? AD DS域是一个将用户,计算机和群组对象,逻辑的组合在一起用于集中管理和保障安全性的工具.所有这些对象都是保存在ADDS数据库中,并且在域中的每一个域控制器上都存有这些数据的副本.因此ADDS的数据库具有容错功能,域内的客户端可以在任何一台域控制器上存取域的信息.ADDS提供了一个可搜索的层次型目录,和一个应用配置以及企业中对象的安全性设置的框架.你可以使用ADDS和GPO去把配置和安全性设置应用到用户和计算机账号上. 什么是AD DS域树? AD